VMware SASE超入門編④
外部通信を一括して保護する「VMware Cloud Web Security」とは?
VMwareが提供するSASEプラットフォーム「VMware SASE」で、インターネットアクセスやSaaS利用など外部通信を保護するセキュリティサービスとして提供されているのが「VMware Cloud Web Security」です。
「VMware SD-WAN Gateway」を経由して外部に抜けていくトラフィックをVMware Cloud Web Securityがチェックする形となります。また、これと連携して内部向けの通信を保護するセキュリティサービスとして「VMware NSX Cloud FWaaS」の開発も進められています。
VMware Cloud Web Securityの概要と活用メリット
VMware Cloud Web Securityは、プロキシサーバーに求められるさまざまなセキュリティ機能をSaaS型で提供します。具体的にはSSL終端(SSLプロキシ)、URLフィルタリング、アドバンスドアンチマルウェア、クラウドサンドボックス、CASB(Cloud Access Security Broker)、DLP(Data Loss Prevention)、リモートブラウザー分離などのサービスをVMware SASE PoPから一元的に提供することで、SaaS やインターネットへのセキュアかつ最適化されたダイレクトアクセスを可能とします。
こうしてセキュリティ状態の欠陥を取り除くことにより、急激に変化する脅威にも俊敏に対応することが可能となります。
また、VMware SASE PoPのグローバルなネットワークにより、SSLの復号化やセキュリティの検査と適用といった負荷の重い処理がユーザーとアプリケーション間の最適なパスで実行されます。結果として遅延が軽減し、ユーザーの生産性を向上します。
さらに、VMware SD-WANオーケストレーターの画面を通じて、セキュリティおよびネットワークサービスを統合スタックとして一元管理します。セキュリティポリシーとアプリケーションポリシーの最適なバランスのとれた調整を図るなど、セキュリティ運用の簡素化を実現することができます。
VMware Cloud Web Security
VMware Cloud Web Securityが一括して提供している主要なセキュリティサービスについて、それぞれの概要を紹介します。
SSL終端
現在ではインターネットトラフィックの90%以上がHTTPSで暗号化されており、その中身をチェックする際には必ずいったん復号化する必要があります。この要件に対してVMware Cloud Web SecurityはSSLの透過型フォワードプロキシとして動作。SSLのRoot CA証明書をエンドポイントデバイスにインストールすることで通信を復号化します。VMware Cloud Web Securityは、非常に負荷の重いこれらの処理をすべてクラウド側で処理します。
URLフィルタリング
マルウェアの拡散や情報の搾取を狙ったフィッシングサイトや偽装サイト、あるいは業務と関係ないアダルトサイトやギャンブルサイトなどへのアクセスを防止します。VMwareがホストするURLカテゴリ化データベースを使用しており、その情報を常時アップデートされています。Webカテゴリと脅威カテゴリから選択することで、Web サイトへのユーザーのアクセスをコントロールすることができます。
アドバンスドアンチマルウェア
安全性が確認されたドキュメントやメールの添付ファイルだけをユーザーにダウンロードさせます。既知の脅威、未知の脅威共に対応することが可能です。
クラウドサンドボックス
シグネチャで検出できない攻撃パターンに関して、クラウドサンドボックスでチェックを行います。これによりゼロデイ攻撃など未知の脅威に対処できます。
CASB(Cloud Access Security Broker)
SaaSアプリケーションに対するユーザー行動の可視化と制御を行い、コンプライアンスの強化、脅威対策、データ漏えい対策を実現します。具体的にはあらかじめ利用許可および不許可を定義したポリシーに基づき、SaaSアクセスを制御するとともに、エンタープライズアプリの利用とSNSアプリの利用といった区分けに基づけたセキュリティを提供します。
例えば、契約社員はDropbox のようなファイル共有サービスから業務用のドキュメントファイルを参照することを許可する一方で、そのファイルをSNSのメッセージに添付して転送するといった操作を禁止することができます。
DLP(Data Loss Prevention)
機密データが企業の境界から外に漏えいしないように保護します。HIPAA、PCI、GDPR といった個人情報保護のコンプライアンスにも容易に対応することが可能です。また、機密情報流出に対する脅威や違反に対してログの取得やアラートを発するほか、自動的にブロックする機能などを提供し、迅速な対処をサポートします。
Remote Browser Isolation
VMware SASE PoP上でWebブラウザのコンテンツを分離し、エンドポイントデバイスに対してはUI部分のみをレンダリングします。
VMware NSX Cloud FWaaSによる内部通信の保護
外部通信を保護するVMware Cloud Web Securityと連携し、内部通信のトラフィックを保護するサービスとしてはVMware NSX Cloud FWaaS(Firewall as a Service)が用意されています。
例えば自宅や外出先からリモートアクセスしてきたユーザーは、VMware Secure Accessによる認証やデバイスポリシーに従った接続が行われていますが、いったんセッションが確立されたあとは、そこからさらに本社データセンターや他拠点のデータ、IaaSなどにも無条件でアクセスできるというのでは、本当の意味でのゼロトラストアーキテクチャーとは言えません。内部通信のトラフィックについても常に安全性を担保する必要があります。
そこでVMware NSX FWaaSは内部トラフィックをクラウド上のファイアウォールサービスにリダイレクトしてチェックを実施。そこで問題がないと判断された通信だけをデータセンターや他拠点、IaaSなどに通します。
このように内部通信のチェックをインラインで確実に実行することで、組織内でのマルウェアの拡散や標的型攻撃の侵入を防ぐことができます。
「VMware Cloud Web Security」で従来型のプロキシサーバをSaaS時代に最適化
本記事では、VMware Cloud Web Security の各機能の概要についてご紹介しました。また、以下の記事ではVMware Cloud Web Securityの特徴を弊社エンジニア目線でご紹介していますので、よろしければご覧ください。
